ビジネス

GDPR まず、これだけ。 - 最初の第1歩 -

yu-jin's icon'
  • yu-jin
  • 2018/10/29 13:25
Content image



1. GDPRをあきらめたい - GDPR for Akirame -

Content image
Content image

EUの一般データ保護規則(GDPR)に関して、「自分の会社には関係ないよね。きっと。」とか「無視したいな。」とか思っている方向けの記事。

GDPRの認知度や対応済み企業って、日本ではまだまだ非常に少ない。でも、実は、GDPR対応をあきらめるためにできることがある。GDPRをあきらめるために、これだけはやっておきたい。

まずはじめに、法律のおさらいから。



2. GDPR総ざらい - Point of GDPR -

Content image

では、まず「GDPRってどのような法律でしたっけ?」という確認。


GDPRって?

2018年5月25日より施行された、EEA域内(EU+3ヶ国)に所在する人の個人データの取り扱いを定めたEUの法律です。(EUの法律なのですが、日本で扱うEEAの個人情報も対象になっているので、日本でも対応が必要となっています)


目的は?

個人情報の保護と基本的人権の尊重を目的にしていて、個人には自身の情報をコントロールするための権利が与えられ、企業には個人の権利に対応する義務が課されます。(例えば、企業が管理している個人情報の閲覧や、消去や、処理に関する説明を求める権利が個人に与えられます)


どんなリスクがあるの?

GDPRは罰則が話題になった法律でもあり、最大26億円ほどの制裁金が定められています。金銭的なリスクのほか、訴訟などの法的リスク、世界的な評価や今後の事業に影響を及ぼすレピュテーションリスクが考えられます。


GDPRで求められる要件

端的に言い換えると「個人データを適切に扱い、個人の同意を得ていること」、「GDPRで個人に与えられた権利への対応」、「個人データ保護の対策」、「トラブル対応」の4つです。


これら4つの要件において監督機関が重視するのは、GDPR対応への取り組み姿勢です。法律の遵守に関して、取り扱う個人情報や企業の事情に見合った運用がなされているかが問われます。



3. 鍵は運用と姿勢にあり - Key is Mind -

Content image
Content image

実は、日本でも今年の6月に、プリンスホテルが違反の可能性があるとされ、GDPRの調査対象になった。

その後の動きとしては、プリンスホテルがGDPRを遵守する対応を速やかに実施しているため、制裁金の罰則にまでは発展しないとの見方もあるのだけど、結論はまだこれから、という状況。(2018年10月時点)

「ちゃんとやっていたつもりだったけど、トラブルが発生してしまった」、この時点で罰則の適用には至らないところがポイント。"GDPRで求められる要件"で先述した通り、「トラブルが発生したけど、トラブルに対してきちんと対応をしたかどうか」が調査で重要視される。



4. WEBサービスの例 - AruAru Case WEB etc. -

Content image

例えば、よくあるWEBサービス系の企業なら、以下のような対応ができるかもしれませんね。というものを書いてみました。(実際の対応は、もちろん各社の実情に基づいた方針で運用を展開していく必要があります)

・データ取扱いの"同意"は、利用規約を改訂
・個人から要求を受ける"同意の撤回"や"異議権"は問い合わせページ
・データ入手時に一定情報を知らせる"情報権"はメール通知
・データの"訂正権"はマイページ等で利用者自身が訂正
・データ利用の"制限権"は会員制であれば退会やメルマガの停止
・"自動化された個人の判断に関する権利"はCookie取得同意を追加
・"完全性の確保"や"可用性"、"データ回復"はDB冗長化等インフラ
・"個人データの処理の活動記録"はログ管理

以下は、何かしらのシステム改修がきっと必要になると思います。

・"機密性"は、例えば利用制限をする機能
・データ提供の"アクセス権"や"データポータビリティ権"はデータ出力
・データの"消去権"や"暗号化・仮名化"は削除機能

※扱う情報や事情にも依ります。また法律遵守を約束するものでなく参考情報です。(←こういうの明記しとかないといけないんです)



5. ○○に相談だ - Lawer is Saikyo-Supporter -

Content image
Content image

まずはきちんと弁護士に相談。

GDPRは何かトラブルがあったからといって、すぐに罰則が適用されるわけではない。「そもそも運用ではGDPRが考慮されていたのか?」という観点はありますが、「トラブルに誠意をもって対応してくれたのか?」という観点は非常に重視される。GDPRを生真面目にやりきらなくても、「GDPRに誠意をもって対応してますよ!」を言うために、弁護士と相談してみよう。



6. 危機感を煽りたいんじゃない - Stop Danger UpUp -

Content image
Content image

GDPR対応に関して危機感を煽りまくる情報をよく見かける。散々脅迫したあとは「GDPRに対応できるか、簡易調査をしますよ。」といったビジネスさえ展開されている。

本記事の目的は最低限やっておくべきことの紹介。まずちゃんと事実を知って、それぞれの企業が弁護士と相談して、それぞれの企業の事情に見合った運用を構築することをオススメします。






あとがき

本記事では、Keiさんの以下の記事で紹介されていた"線の画像"を利用しました。


公開日:2018/10/29
獲得ALIS:6.94
yu-jin's icon'
  • yu-jin
  • @abeko
"良記事"と呼ばれる日がいつかきますように。

投稿者の人気記事
コメントする
コメントする
こちらもおすすめ!
Eye catch
クリプト

ジョークコインとして出発したDogecoin(ドージコイン)の誕生から現在まで。注目される非証券性🐶

Like token Tip token
38.31 ALIS
Eye catch
他カテゴリ

オランダ人が語る大麻大国のオランダ

Like token Tip token
46.20 ALIS
Eye catch
他カテゴリ

テレビ番組で登録商標が「言えない」のか考察してみる

Like token Tip token
26.20 ALIS
Eye catch
ビジネス

【最新】Braveブラウザの素晴らしさを語る【オススメ】

Like token Tip token
20.02 ALIS
Eye catch
クリプト

イーロンマスク(Elon Musk)とビットコイン(BTC)

Like token Tip token
11.52 ALIS
Eye catch
ビジネス

最低賃金の推移2021。

Like token Tip token
26.94 ALIS
Eye catch
クリプト

17万円のPCでTwitterやってるのはもったいないのでETHマイニングを始めた話

Like token Tip token
46.60 ALIS
Eye catch
クリプト

NasdaqがDeFi(分散型金融)関連のインデックスを上場させると聞いたので、構成銘柄を調べてみた

Like token Tip token
33.60 ALIS
Eye catch
他カテゴリ

Decentralizationについて語る時に僕の語ること

Like token Tip token
11.20 ALIS
Eye catch
クリプト

Bitcoinの価値の源泉は、PoWによる電気代ではなくて"競争原理"だった。

Like token Tip token
159.32 ALIS
Eye catch
クリプト

NFT解体新書・デジタルデータをNFTで販売するときのすべて【実証実験・共有レポート】

Like token Tip token
121.79 ALIS
Eye catch
クリプト

いま頑張って働いている人たちへ【仮想通貨】でカンタン貯金UP!~バイナンスの使い方初心者編~

Like token Tip token
8.64 ALIS